211service.com
Los picos de tráfico de malware precedieron a los conflictos rusos e israelíes
Un estudio de malware que opera en redes corporativas y gubernamentales sugiere que los patrones de comunicación de estos programas podrían advertir sobre conflictos importantes.

Informe de seguridad : Los asistentes ven una presentación en la conferencia Black Hat 2014.
Investigadores de la empresa de seguridad. ojo de fuego Supervisó millones de mensajes de malware enviados durante los últimos 18 meses y encontró picos en el tráfico hacia y desde Rusia y Ucrania a medida que aumentaron las tensiones entre los dos países a principios de este año. Se observó un patrón similar en el tráfico de malware a Israel cuando entró en sus recientes hostilidades con Hamas.
El estudio de FireEye se basó en datos recopilados de más de 5000 clientes corporativos y gubernamentales de todo el mundo. El software de FireEye captura los mensajes de devolución de llamada enviados por malware dentro de una red, ya sea informando su estado a sus operadores o captando nuevos comandos. Esos mensajes se utilizaron para determinar la ubicación de la computadora que controla el malware.
Lo más probable es que los patrones fueran causados por agencias gubernamentales que intensificaron sus esfuerzos para recopilar inteligencia o atacar a sus adversarios, dice Kenneth Geers, quien trabajó en el proyecto. En el período previo a la crisis de Crimea, se vio un aumento de las devoluciones de llamadas de malware tanto en Rusia como en Ucrania, dijo en la Sombrero negro conferencia de seguridad informática el jueves.
También es posible que la actividad proviniera de piratas informáticos simpatizantes pero no apoyados por los países involucrados. Pero muchos países ahora utilizan rutinariamente los ataques informáticos con fines militares y de inteligencia.
Geers dijo que los patrones en las comunicaciones de malware podrían usarse para predecir cuándo los países se están preparando para un conflicto: si EE. compromisos de seguridad nacional. Geers, quien recientemente dejó FireEye para trabajar como consultor independiente , trabajó anteriormente en seguridad informática internacional en la Agencia de Seguridad Nacional y la OTAN.
Los operadores de malware a veces ocultan su ubicación haciendo que los mensajes de devolución de llamada salten entre computadoras en diferentes países, y el estudio de FireEye solo pudo registrar el primer salto. Sin embargo, los autores de malware no siempre se molestan en instalar un sistema de relevos, dijo Geers. Y así, dijo, con un conjunto de datos lo suficientemente grande, surgen patrones geográficos precisos.
Gran parte del tráfico a Israel cuando se movía para atacar a Hamas en la Franja de Gaza provino de malware instalado en computadoras en Canadá y EE. UU. Tiene una indicación de que tal vez las organizaciones de seguridad nacional israelíes están aprovechando la infraestructura en Canadá y EE. UU., dijo Geers.
Hacer coincidir el tráfico de malware con eventos del mundo real también podría proporcionar una forma de descubrir herramientas que utilizan los estados-nación. Parte del tráfico procedente de Canadá, por ejemplo, parecía provenir de un malware que nunca antes se había visto y que ahora FireEye está investigando.
FireEye planea continuar con la investigación. Podemos ver el equivalente digital de las tropas en la frontera, dijo Kevin Thompson, analista de amenazas de la compañía. Revisión de tecnología del MIT . Pero nos gustaría mirar hacia atrás a un año completo de datos e intentar correlacionarlos con todos los eventos mundiales en el mismo período.
El uso gubernamental de malware es cada vez más común, según Mikko Hyppönen, director de investigación de F-seguro , que estudia el malware creado y utilizado por los estados-nación. Países de todos los tamaños usan malware porque es relativamente barato y obtiene resultados, dijo durante una charla en Black Hat el miércoles. Hay paralelos aquí con la carrera de armamentos nucleares, dijo. [Pero] el poder de las armas nucleares estaba en la disuasión, y no tenemos eso con las armas cibernéticas.
Y, como señaló Geers, existe un conflicto entre el entusiasmo de los gobiernos por esas nuevas armas y su obligación de garantizar la seguridad en Internet. El problema del malware a nivel mundial es muy difícil de resolver, pero ¿los gobiernos quieren resolverlo? él dijo. Los gobiernos se benefician mucho de proteger la soberanía y proyectar poder a través de ataques a la red.